Forums d'entraide informatique - Astuces - Conseils

Utilité
Apt-get est la couche qui apporte une certaine intelligence et une grande facilité d’utilisation au système de gestion des
packages Debian. Avec apt-get, on définit les sources des packages dans un fichier de configuration et il gère l’installation
et le retrait des packages en tenant compte des dépendances ainsi que le téléchargement des packages s’ils sont sur une
source réseau.
Apt-get est donc utilisé pour installer et retirer les packages inclus dans la distribution ainsi que des packages qui peuvent
être inclus dans les sources.
Définir les sources des packages
La théorie
Les sources des packages sont définies dans le fichier de configuration /etc/apt/sources.list. Une source doit tenir
sur une seule ligne (pas de retour à la ligne au milieu de la définition d’une source) et commencer par un des deux mots
clés suivants :
• deb pour définir une source de packages binaires ;
• deb-src pour définir une source de packages sources (cela n’intéressera que les développeurs qui veulent examiner le
code source des programmes).
Pour ajouter ou retirer une source réseau ou fichier, il faut éditer le fichier "à la main".
Pour ajouter comme source un CD ou DVD Debian, il faut exécuter la commande suivante :
72Chapitre 23. Le système de gestion des packages Debian
# apt-cdrom add
Pour enlever un CD ou DVD Debian de la liste des sources, il faut éditer le fichier et supprimer la ligne correspondant au
CD ou au DVD.
Vous trouverez tous les détails sur la syntaxe dans man sources.list.
Méthode 6 disquettes, 1 mini-CD ou 1 CD
Le fichier /etc/apt/sources.list doit contenir :
deb http://ftp.fr.debian.org/debian woody main contrib non-free
deb http://ftp.fr.debian.org/debian-non-US woody/non-US main contrib non-free
deb http://security.debian.org/ woody/updates main contrib non-free
Si vous aviez suivi la méthode 6 disquettes ou la méthode 1 mini-CD, vous n’avez normalement rien à changer. Par contre,
si vous aviez suivi la méthode 1 CD, vous devez supprimer la ligne qui correspond au CD et taper les trois lignes ci-dessus.
Note : Vous pouvez remplacer ftp.fr.debian.org par le nom DNS d’un autre miroir Debian, notamment si vous avez
accès à un miroir plus rapide. Par exemple, pour avoir le miroir Debian de VIA (http://www.via.ecp.fr), il faut mettre
debian.via.ecp.fr à la place de ftp.fr.debian.org.
Méthode 7 CDs / 1 DVD
Pour l’instant, le fichier /etc/apt/sources.list doit normalement contenir 7 lignes correspondant aux 7 CDs, ou une
seule ligne si vous utilisiez un DVD. Selon les cas, vous devrez ajouter ou non des lignes au fichier :
• si l’ordinateur n’a pas de connexion Internet, alors vous n’avez pas besoin de modifier le fichier ;
• si l’ordinateur a une connexion Internet par modem classique que vous avez réussi à la faire marcher au chapitre Faire
marcher la connexion Internet, alors rajoutez la ligne suivante pour bénéficier des mises à jour de sécurité :
deb http://security.debian.org/ woody/updates main contrib non-free
• si l’ordinateur a une connexion Internet de type ADSL ou câble que vous avez réussi à la faire marcher au chapitre Faire
marcher la connexion Internet, alors rajoutez les lignes suivantes pour bénéficier des nouvelles releases de Debian et des
mises à jour de sécurité :
deb http://ftp.fr.debian.org/debian woody main contrib non-free
deb http://ftp.fr.debian.org/debian-non-US woody/non-US main contrib non-free
deb http://security.debian.org/ woody/updates main contrib non-free
Utilisation
Les commandes à savoir sont les suivantes :
• Met à jour la liste des packages disponibles (pour les sources réseau ou fichier, il doit aller voir si elles ont été mises à
jour ; pour les sources CD, il ne fait rien de particulier) :
# apt-get update
73Chapitre 23. Le système de gestion des packages Debian
• Met à jour tous les packages déjà installés à la dernière version disponibles dans les sources :
# apt-get upgrade
• Idem que la commande précédente, mais cette commande est optimisée pour les migrations vers une version supérieure
de Debian (par exemple passer de la version stable à la version instable) :
# apt-get dist-upgrade
• Installe les packages package1 et package2 et tous les packages dont ils dépendent :
# apt-get install package1 package2
• Désinstalle le package package1 sans effacer ses fichiers de configuration :
# apt-get remove package1
• Idem que la commande précédente mais ses fichiers de configuration sont supprimés :
# apt-get remove --purge package1
• Efface du disque dur les packages téléchargés pour être installés (inutile quand la source est un CD ou un fichier du
système de fichiers local) :
# apt-get clean
Pour plus informations ou pour avoir la liste complète des options disponibles, lisez le très complet APT HOWTO
(http://www.debian.org/doc/manuals/apt-h … ex.fr.html) ou consultez le manuel d’apt-get :
% man apt-get
Dselect
Dselect est une alternative à apt-get pour la gestion intelligente des packages. Vous vous en êtes déjà servi une fois pendant
la procédure d’installation, au chapitre Les packages.
Il a un certain nombre d’avantages par rapport à apt-get, mais il a aussi de nombreux inconvénients, notamment la
complexité d’utilisation pour un débutant ainsi que la difficulté de résoudre les problèmes de dépendance. J’ai donc décidé
de ne pas expliquer dans ce chapitre l’utilisation de dselect ; vous trouverez une explication détaillée de son utilisation dans
l’annexe Utiliser Dselect.
Avant d’aller plus loin...
Compléter l’installation de vim
Maintenant que, quelle que soit la méthode que vous avez utilisée, vous avez accès à l’intégralité des packages, vous allez
pouvoir compléter l’installation de vim, en installant le programme par, qui permet de reformatter du texte dans vim :
# apt-get install par
74Chapitre 23. Le système de gestion des packages Debian
Ce programme apporte deux nouvelles fonctions à vim quand vous êtes en mode commande :
• la touche # coupe les lignes d’un paragraphe à 72 caractères (on dit wrapper), ce qui est la norme pour les documents
texte que vous envoyez (mail, post dans les news...) ;
• la touche @ fait la même chose que # mais en justifiant le texte.
Méthode 1 CD et configuration de l’USB
Vous pouvez désormais installer les packages hotplug et usbutils comme ceux qui ont suivi les autres méthodes :
# apt-get install hotplug usbutils
Vous pouvez maintenant retirer la ligne que vous aviez ajouté à la fin du fichier /etc/fstab et qui commençait par
usbdevfs.
Désinstaller les packages inutiles
Certains packages qui ont été installés par la procédure d’installation ou par dselect ne vous sont en réalité par utiles, ou en
tout cas pas dans l’immédiat (notamment les packages ipchains pour faire du firewalling avec les vieux noyaux de la
branche 2.2, lpr qui est un vieux serveur d’impression, nvi qui est une vieux clone de vi...) ; je vous conseille de les enlever
:
# apt-get remove --purge ipchains lpr nvi ipmasqadm
# rm /etc/printcap
75Chapitre 24. Le réseau et la sécurité
Introduction à la sécurité
Qui est concerné ?
Ce chapitre vous concerne si votre ordinateur n’est pas isolé mais connecté à un réseau local ou à Internet.
Mais pourquoi s’embêter ?
Le raisonnement de base est le suivant : "La sécurité de ma machine, je m’en fous : y’a rien de précieux sur ma machine...
personne n’a intérêt à me pirater !"
Avertissement
C’est FAUX ! Les pirates recherchent les machines vulnérables pour avoir accès à un compte sur
ces machines. Ils peuvent ainsi lancer leur vraie attaque destructrice depuis cette machine
vulnérable au lieu de le faire depuis leur machine personnelle. Ainsi, on remonte beaucoup plus
difficilement jusqu’à eux !
Autre raisonnement dangereux : "J’ai Linux, donc je suis tranquille niveau sécurité !"
Avertissement
C’est encore une fois FAUX ! Il y a des failles de sécurité, même sous Linux. Par exemple, sur les
noyaux 2.4.20 et inférieurs, une faille permet à n’importe quel utilisateur de devenir root ! On appelle
ça un local root exploit . Plus grave, il y a régulièrement des failles dans des programmes qui
permettent à un pirate d’exécuter du code sur la machine avec les mêmes privilèges que
l’application vulnérable ! On appelle ça un remote exploit ; et quand l’application vulnérable tourne
en root (c’est le cas du serveur d’accès à distance SSH par exemple), alors on appelle ça un remote
root exploit , et le pirate a alors le contrôle total sur la machine !
Morale...
J’espère que je vous ai convaincu de l’importance de se tenir au courant des problèmes de sécurité et de mettre votre
système à jour dès qu’une faille est découverte et réparée.
L’avantage d’appartenir au monde du logiciel libre est que tous les programmeurs du monde entier ont accès au code
source du noyau et des programmes et peuvent alors corriger les failles de sécurité. La correction des failles est donc
beaucoup plus rapide qu’avec d’autres OS non libres.
Protéger son système
Les failles de sécurité dans les packages Debian
Avec Debian, quand un package a une faille de sécurité, une équipe spéciale, le security team, se charge de mettre
rapidement à disposition des utilisateurs une version corrigée du package contenant le programme vulnérable sur un site
dédié.
76Chapitre 24. Le réseau et la sécurité
Pour être mis au courant de la disponibilité d’une mise à jour de sécurité, il faut s’abonner à la mailing-list
debian-security-announce. Pour s’inscrire, il suffit de se rendre à l’adresse www.debian.org/MailingLists/subscribe
(http://www.debian.org/MailingLists/subscribe). Par la même occasion, vous pouvez vous abonnez à la mailing-list
debian-announce pour recevoir les annonces des sorties de nouvelles versions de la distribution Debian. Je vous conseille
de vous abonnez également à la mailing-list debian-news pour recevoir chaque semaine un résumé de l’actualité du projet
Debian.
Quand une faille de sécurité est corrigée par Debian, vous recevez un mail par la mailing-list debian-security-announce. Ce
mail décrit la faille et la procédure pour mettre à jour facilement votre système.
En pratique, la procédure de mise à jour est toujours la même. Normalement, vous avez dû rajouter au chapitre précédent le
site de Debian dédié aux mises à jour de sécurité dans la liste des sources de packages en ajoutant au fichier
/etc/apt/sources.list la ligne suivante :
deb http://security.debian.org/ woody/updates main contrib non-free
Ensuite, il suffit de mettre à jour la liste des packages puis les packages eux-mêmes :
# apt-get update
# apt-get upgrade
Les failles de sécurité noyau
Il arrive également qu’il y ait des failles de sécurité dans le noyau Linux. L’équipe de développement du noyau se charge
alors de corriger la faille au plus vite.
Il n’existe pas à ma connaissance de mailing-list d’annonce officielle pour être mis au courant des failles de sécurité du
noyau... mais il suffit de jeter un oeil régulièrement aux sites d’actualité Linux, comme par exemple LinuxFR
(http://www.linuxfr.org/), qui relayent ce genre d’information.
La solution pour corriger une faille du noyau consiste généralement à recompiler une version plus récente du noyau, ou à
appliquer un patch sur la dernière version disponible avant de recompiler. La procédure de compilation du noyau Linux et
la façon d’appliquer des patches est expliquée aux chapitres suivants.
Surveiller son système en lisant les logs
Les logs sont des fichiers textes produits par le système, dans lesquels celui-ci raconte ce qu’il fait et ce qui lui arrive. Il
donne des renseignements sur ce que font les programmes, les connexions qui arrivent à votre machine, les personnes qui
s’y connectent.
Les logs se trouvent dans le répertoire /var/log/. Il faut appartenir au groupe adm pour pouvoir les lire. Rajoutez donc
votre compte utilisateur à ce groupe pour éviter de lire les logs en root :
# adduser toto adm
Les fichiers de logs les plus importants sont :
• syslog : c’est le fichier de log principal. Il contient tous les messages du noyau (que l’on retrouve dans kernel.log),
tous les messages des serveurs (que l’on retrouve dans daemon.log), tous les messages de la cron...
• auth.log : il vous raconte tout ce qui concerne les authentifications.
Lire régulièrement les logs de sa machine permet de voir si quelqu’un essaye de vous attaquer. Cela permet aussi de voir si
tout se passe bien au niveau du système, du noyau, etc...
77Chapitre 24. Le réseau et la sécurité
Désactiver les services inetd inutiles
Il est conseillé de désactiver les services inetd activés par défaut, qui sont de vieux services Unix qui ne sont plus utilisés
par les applications modernes. Pour cela :
# update-inetd --disable discard,daytime,time,ident
Il affiche alors un avertissement :
WARNING!!!!!! /etc/inetd.conf contains multiple entries for
the ‘discard’ service. You’re about to disable these entries.
Do you want to continue? [n]
Répondez y.
Rajouter une console de logs
Il peut être intéressant d’avoir une console sur laquelle les logs défilent en direct. Cela permet de voir en temps réel ce qui
se passe au niveau du système, et donc de résoudre les éventuels problèmes plus rapidement.
Pour cela, éditez en root le fichier de configuration de syslog (le programme qui gère les logs) /etc/syslog.conf.
Décommentez les 4 lignes à l’endroit où les commentaires parlent de cette fonction (vers la ligne 50) :
daemon,mail.*;\
news.=crit;news.=err;news.=notice;\
*.=debug;*.=info;\
*.=notice;*.=warn /dev/tty8
Pour que le système tienne compte de cette modification, tapez :
# /etc/init.d/sysklogd restart
En allant sur la console n◦8, vous devez déjà voir une première ligne de texte qui vous informe que syslog a redémarré !
Aller plus loin...
Pour en savoir plus sur l’art et la manière de sécuriser un système Debian, je vous conseille la lecture du Securing Debian
Manual (http://www.debian.org/doc/manuals/secur … ian-howto/), en anglais.
78Chapitre 25. Configuration du noyau Linux
Recompiler le noyau
Qu’est-ce que le noyau Linux ?
Cela a déjà été expliqué dans la section Un noyau de la première partie de la formation.
Pourquoi recompiler le noyau ?
Le noyau qui tourne en ce moment sur votre Linux fraîchement installé est le noyau fourni en standard dans la distribution
Debian. C’est un noyau assez gros qui est destiné à pouvoir fonctionner sur la plupart des ordinateurs.
Ce que nous allons faire est personnaliser le noyau pour qu’il supporte nos périphériques et eux seulement. Plus le noyau
est petit, plus le système d’exploitation est rapide. L’étape la plus difficile sera la configuration du noyau, pour qu’il
supporte bien tous nos périphériques.
La numérotation des noyaux
Les noyaux Linux sont rigoureusement numérotés. Le numéro comporte 3 chiffres : les deux premiers chiffres
correspondent au numéro de la branche, et le dernier chiffre correspond à la version du noyau dans cette branche. Par
exemple, le fichier linux-2.4.22.tar.gz contient les sources de la version n◦22 de la branche 2.4.
Il existe deux types de branches :
• les branches stables dont le dernier numéro est pair (exemple : 2.0, 2.2, 2.4) ;
• les branches instables ou beta qui servent au développement et dont le dernier numéro est impair. Elles servent au
développement de la branche de numéro pair supérieur (exemple : la branche 2.3 sert au développement de la branche
stable 2.4, et la branche 2.5 sert au développement de la future branche stable 2.6).
Quel noyau choisir ?
C’est très simple : il faut choisir, sauf cas particulier, le dernier noyau de la dernière branche stable. Au jour où j’écris ces
lignes, la dernière branche stable est la branche 2.4 et le dernier noyau de cette branche porte le numéro 22. Il faut donc
installer le noyau 2.4.22. Pour avoir les dernières infos sur les versions des noyaux, vous pouvez aller sur le site officiel du
noyau Linux : The Linux Kernel Archives (http://www.kernel.org).
Les préparatifs
Se renseigner sur son chipset et son processeur
Pour bien configurer son noyau, il faut bien connaître le hardware de sa machine, et notamment le modèle du chipset et le
type de processeur. Pour connaître le type de processeur :
% cat /proc/cpuinfo
La ligne model name vous donnera le type de processeur de votre machine.
Pour connaître le modèle du chipset de votre machine :
79Chapitre 25. Configuration du noyau Linux
% lspci
La première ligne devrait vous donner le modèle de votre chipset. Les lignes suivantes vous donneront plein d’autres
informations intéressantes sur le hardware de la machine, et certaines de ces informations vous seront utiles lors de la
configuration du noyau.
Se renseigner sur sa carte son
Si vous avez une carte son, vous devez savoir qu’il existe deux architectures pour faire marcher le son sous Linux :
• la vieille architecture OSS (Open Sound System), qui est intégrée aux sources du noyau 2.4,
• la nouvelle architecture ALSA (Advanced Linux Sound Architecture), plus moderne au niveau du code, et qui supporte
plus de cartes son. Elle sera intégrée aux sources du futur noyau 2.6.
Je vous conseille donc d’utiliser ALSA... sauf si vous avez une carte son qui n’est supportée que par OSS. Pour le savoir,
regardez la page ALSA Soundcard Matrix (http://www.alsa-project.org/alsa-doc/) avec un navigateur graphique :
• les cartes sur fond blanc sont supportées par ALSA,
• les cartes sur fond vert avec "OSS driver" dans la colonne Commentaire ne sont supportées que par OSS,
• Les cartes sur fond rouge ne sont supportées par aucune des deux architectures.
Une fois que vous avez trouvé votre carte dans la liste, relevez le nom du module ALSA ou OSS :
• si votre carte est supportée par ALSA, cliquez sur Details ; le nom du module est écrit dans la première phrase (il
commence toujours par le préfixe snd-). Ensuite, allez sur la page d’accueil (http://www.alsa-project.org) et notez
également la dernière version du driver dans la ligne Stable release.
• si votre carte est supportée uniquement par OSS, le nom du module est indiqué, ou bien il y a un lien vers un page
explicative contenant le nom du module OSS.
Note : Pour les possesseurs d’un ordinateur portable, le site Linux on Laptops (http://www.linux-on-laptops.com/) est
aussi une très bonne source d’information pour savoir quel driver utiliser pour sa carte son, ainsi que pour tous les
autres périphériques intégrés dans l’ordinateur portable.
Se renseigner sur son système d’économie d’énergie
Tout d’abord, posez-vous la question suivante : ai-je vraiment besoin d’un système d’économie d’énergie ? Si vous voulez
monter un serveur ou une station de travail qui n’a pas besoin d’être mise en veille, vous n’avez pas à vous préoccuper du
système d’économie d’énergie. Par contre, si vous voulez pouvoir mettre votre ordinateur en veille ou si vous avez un
ordinateur portable, il faut partir aux renseignements pour savoir quel système d’économie d’énergie est supporté par le
BIOS (regardez dans le manuel de la carte mère ou de votre portable) :
• l’APM (Advanced Power Management),
• ou l’ACPI (Advanced Configuration and Power Interface).
Note : Si votre système supporte les deux, l’APM et l’ACPI, je vous conseille, pour la suite de la configuration de votre
système, de choisir l’APM, car plus simple et mieux supporté sous Linux.
80Chapitre 25. Configuration du noyau Linux
Droits et packages
La plus grande partie de la procédure ne nécessite pas d’être root. Cependant, il va falloir d’abord ajouter l’utilisateur que
vous êtes au groupe src. En root, tapez :
# adduser toto src
où toto est votre nom d’utilisateur. Pour que le changement soit effectif, il faut que l’utilisateur se déloggue puis se
reloggue.
Pour la décompression et la configuration du noyau, installez les deux packages suivants :
# apt-get install bzip2 libncurses5-dev
Se procurer les sources du noyau
Maintenant que vous avez les droits et les packages nécessaires, vous allez repasser en simple utilisateur et télécharger les
sources du noyau.
Si vous avez une connexion Internet rapide
Si vous avez déjà une connexion rapide à Internet qui marche, téléchargez les sources (32 Mo environ) sur un miroir du
noyau Linux, par exemple le miroir de VIA ftp.via.ecp.fr ou le miroir officiel français ftp.fr.kernel.org, et mettez-les dans
le répertoire /usr/src :
% wget -P /usr/src ftp://ftp.via.ecp.fr/pub/linux/kernel/v … .22.tar.gz
en remplaçant éventuellement ftp.via.ecp.fr par un autre miroir plus proche, et en adaptant le numéro de version.
Téléchargez également la signature cryptographique des sources, qui vous permettra par la suite de vérifier leur
authenticité et leur intégrité :
% wget -P /usr/src ftp://ftp.via.ecp.fr/pub/linux/kernel/v … ar.gz.sign
Pour vérifier l’authenticité et l’intégrité des sources du noyau (par exemple pour vérifier que les sources n’ont pas été
modifiées par un pirate qui se serait introduit sur le site miroir), on va utiliser le programme GnuPG (alias GPG), qui est un
équivalent libre de PGP, et qui est installé par défaut (package gnupg). Commencez par télécharger la clé publique de Linux
Kernel Archives :
% gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E
Comme c’est la première fois que vous utilisez GPG, il crée le répertoire ~/.gnupg avec un fichier options, et vous
demande de réexécuter la commande. Exécutez donc la même commande une deuxième fois.
Ensuite, vérifiez l’authenticité de la clé publique en comparant le fingerprint de la clé que vous avez téléchargé avec le
fingerprint de la vraie clé de Linux Kernel Archives : ils doivent être strictement identiques !
• Pour connaître le fingerprint de la clé que vous avez téléchargée :
% gpg --fingerprint
/home/toto/.gnupg/pubring.gpg
-------------------------------
pub 1024D/517D0F0E 2000-10-10 Linux Kernel Archives Verification Key <ftpadmin@kernel.org>
Key fingerprint = C75D C40A 11D7 AF88 9981 ED5B C86B A06A 517D 0F0E
sub 4096g/E50A8F2A 2000-10-10
81Chapitre 25. Configuration du noyau Linux
• Pour connaître le vrai fingerprint de la clé, regardez sur le site principal du noyau Linux à l’adresse
http://www.kernel.org/signature.html.
Si les deux fingerprints sont identiques, alors c’est bien la vraie clé publique de Linux Kernel Archives que vous avez
téléchargé dans votre trousseau de clés. Vous pouvez alors passer à la vérification des sources :
% cd /usr/src/
% gpg --verify linux-2.4.22.tar.gz.sign linux-2.4.22.tar.gz
Il doit normalement vous répondre que la signature est bonne (ce qui prouve l’authenticité et l’intégrité), mais que la clé
n’est pas certifiée avec une signature de confiance.
Si vous n’avez pas de connexion Internet rapide
Si vous n’avez pas de connexion rapide à Internet, vous avez le choix entre :
• trouver les sources du dernier noyau chez un ami qui a une connexion Internet rapide et un graveur de CD ou sur le CD
d’un magazine Linux,
• installer le package Debian contenant les sources du noyau (sur une Woody, le package contenant les sources les plus
récentes contient les sources du noyau 2.4.18) :
# apt-get install kernel-source-2.4.18
Décompresser les sources
Vous devez donc maintenant avoir un fichier contenant les sources du noyau Linux dans le répertoire /usr/src/.
Décompressez les sources, créez (ou mettez-à-jour) le lien symbolique /usr/src/linux qui doit pointer sur le nouveau
répertoire contenant les sources du noyau, et placez-vous dans ce nouveau répertoire :
• si votre fichier contenant les sources se nomme linux-version.tar.gz :
% cd /usr/src/
% tar xvzf linux-version.tar.gz
% ln -sfn linux-version linux
% cd linux/
• s’il se nomme linux-version.tar.bz2 :
% cd /usr/src/
% tar xvjf linux-version.tar.bz2
% ln -sfn linux-version linux
% cd linux/
• si vous avez installé le package Debian contenant les sources :
% cd /usr/src/
% tar xvjf kernel-source-version.tar.bz2
% ln -sfn kernel-source-version linux
% cd linux/
82Chapitre 25. Configuration du noyau Linux
Appliquer un patch sur les sources ?
Qu’est-ce qu’un patch ?
Dans certains cas particuliers, les sources du noyau standard ne suffisent pas ou ne conviennent pas pour certains usages.
De nombreux projets développent et maintiennent des patchs pour le noyau Linux. Un patch est un fichier texte contenant
des instructions pour modifier par différence les sources d’un programme (il donne les lignes à ajouter et les lignes à retirer
dans les fichiers source). Le nom d’un fichier patch est normalement composé dans l’ordre :
1. de la fonctionnalité ajoutée ou modifiée par le patch,
2. du numéro de version du patch,
3. du numéro de version des sources sur lesquels il s’applique,
4. de son extension .diff.
Par exemple, le fichier ebtables-brnf-2_vs_2.4.22.diff, téléchargeable depuis la page de téléchargement
(http://sourceforge.net/project/show@ … p_id=39571) du projet ebtables sur Sourceforge, est la version 2 du
patch qui permet de faire un bridge firewallant avec un noyau Linux, et qui s’applique sur la version 2.4.22 des sources du
noyau (le nom du fichier ne précise pas la version du patch dans ce cas particulier).
Patcher les sources
Pour un usage normal, vous n’avez a priori pas besoin d’appliquer un patch sur les sources du noyau (on dit patcher les
sources) ; vous pouvez alors passer directement à la section suivante. Par contre, si vous savez que vous avez besoin d’un
patch pour un besoin bien particulier et que vous savez où le télécharger, suivez les instructions ci-dessous.
Avertissement
Attention à ne pas télécharger n’importe quel patch n’importe où : il en va de la sécurité de votre
futur noyau !
Pour expliquer comment on applique un patch, je vais prendre exemple sur le patch cité ci-dessus. Il se présente
généralement sous forme compressée (extension .gz ajoutée à la fin du nom du fichier). Je suppose que vous avez
téléchargé le patch dans le répertoire /usr/src/.
Décompressez le patch et appliquez-le sur les sources du noyau :
% cd /usr/src/
% gunzip ebtables-brnf-version_vs_2.4.22.diff.gz
% cd linux-2.4.22/
% patch -p1 < ../ebtables-brnf-version_vs_2.4.22.diff
Si la dernière commande affiche une liste de fichiers patchés sans message d’erreur, cela signifie que l’opération s’est bien
déroulée.
Note : Vous pouvez appliquer successivement plusieurs patchs sur les sources du noyau à condition que les patchs
soient "compatibles" entre-eux.
83Chapitre 25. Configuration du noyau Linux
Configurer le noyau
Récupérer un fichier de configuration modèle
La configuration du noyau est stockée dans un fichier .config à la racine des sources du noyau. Ce fichier est lu et
modifié par l’utilitaire de configuration du noyau, et il est lu lors de la compilation du noyau. Pour vous faciliter la tâche,
j’ai mis à votre disposition un fichier de configuration type pour noyau 2.4 (ordinateur fixe avec une carte réseau, une carte
son, des disques IDE, un graveur IDE et un lecteur DVD IDE). Je vous conseille de prendre ce fichier comme base de
travail pour la configuration de votre noyau 2.4 :
% cp /root/config/config-2.4.x .config
ou :
% wget http://www.via.ecp.fr/~alexis/formation … nfig-2.4.x
% mv config-2.4.x .config
Lancer l’utilitaire de configuration
Pour lancer l’utilitaire de configuration du noyau, tapez, toujours en tant que simple utilisateur :
% make menuconfig
Vous arrivez alors dans l’interface de configuration du noyau. Vous pouvez naviguer avec les flèches et entrer dans les
menus en appuyant sur Entrée.
84Chapitre 25. Configuration du noyau Linux
Figure 25-1. Menu de configuration du noyau
En dur ou en modules ?
Pour ceux qui ont la mémoire courte : Qu’est-ce qu’un module ?
Pour certaines options du noyau, vous avez le choix entre mettre l’option en dur ou en modules. Nous allons mettre un
maximum de périphériques en modules... mais pas tous !
Il y a deux types d’options pour la configuration du noyau (on passe d’une option à la suivante en appuyant sur Espace) :
• Les options entre crochets droits [ ] ; vous avez alors le choix entre mettre cette option :
• en dur dans le noyau : vous devez faire apparaître une étoile : [*],
• ou ne pas la mettre : la case doit rester vide : [ ].
• Les options entre crochets fléchés < > ; vous avez le choix entre mettre cette option :
• en dur dans le noyau : vous devez faire apparaître une étoile : <*>,
• en module : vous devez faire apparaître un M : <M>,
• ou ne pas la mettre : la case doit rester vide : < >.